Patch für gefährdeten Updater längst verfügbar?

Skypes zu aufwändige DLL-Lücke: Laut Entwicklern längst gepatcht [Update]

Der Skype-Updater hat eine schwere Sicherheitslücke. Microsoft kann aber „wegen zu viel Aufwand“ vorerst kein Bugfix liefern. Update: Der Patch sei längst da.

News
VG Wort Pixel
Skype funktioniert nicht
Skype hat seit Montagmorgen (21.09.2015) Probleme.
© WEKA Media Publishing GmbH

Ellen Kilbourne ist Leiterin des Skype Insider Program und hat im Support-Forum bekannt gegeben, dass es tatsächlich eine DLL-Sicherheitslücke im Installer des Messenger gegeben hat. Diese betraf Version 7.40 und vorherige Updates von Skype. In Version 8, die seit Oktober 2017 im Umlauf ist, sei das Problem behoben worden. Das ist verwirrend, da der Finder der Sicherheitslücke noch von einem ungenannten Microsoft-Sprecher selbst gehört haben will, dass Skype die Lücke habe (siehe Originalmeldung) und Microsoft sie erst mit einem großen Versions-Update beheben könne. Unklar ist jedoch, zu welchem Zeitpunkt der Sprecher diese Einschätzung gab. Erstmals gemeldet wurde die DLL-Lücke im Installer im September 2017, einen Monat später kam das Skype-8-Update. Publik gemacht wurde die Lücke am 9. Februar 2018. Wir gehen dem nach und halten Sie auf dem Laufenden.

Originalmeldung vom 14.02.2018:

Cyberkriminelle können Schadcode in den Updater von Skype einschleusen und erhalten so die Möglichkeit, einen PC vollständig aus der Ferne übernehmen zu können. Der Sicherheitsforscher Stefan Kanthak entdeckte dieses Leck und meldete es im September an Microsoft. Mittlerweile sind mehr als die üblichen drei Monate vergangen, die ein Unternehmen Zeit für ein Bugfix bekommt, bevor Informationen zu einem Sicherheitsleck publik gehen.

Skype nutzt ein eigenes Programm, um den Messenger-Client auf dem aktuellen Stand zu halten. Per „DLL-Hijacking“ (Dynamic Link Library) – also dem Übernehmen von Programmbibliotheken – können Cyberkriminelle das Update-Tool nun austricksen. Anstatt die richtigen Bibliotheken von Microsoft für das Update zu laden, erhält der unwissende Nutzer Schadcode.

Mit diesem kann der Angreifer Systemrechte erlangen. Systemrechte sind Administratorrechten übergeordnet – Kanthak beschreibt den Benutzerlevel „System“ gegenüber zdnet.com mit den Worten „Administrator auf Steroiden“. Mit Systemrechten haben Nutzer einen tieferen Zugang ins Betriebssystem und können entsprechend noch mehr Schaden anrichten.

Laut Kanthak ließe sich das Skype-Sicherheitsproblem sehr einfach ausnutzen. Er demonstrierte es mit Hilfe von zwei Kommandobefehlen, die ein Skript oder eine Malware zum Download einer entsprechenden, bösartigen DLL-Datei bewegten. Windows biete hier eine sehr große Oberfläche. Doch DLL-Hijacking sei nicht nur auf Windows beschränkt. Mac OS und Linux sind dafür ebenso anfällig.

Wie reagiert Microsoft?

Laut Microsoft sind die eigenen Entwickler in der Lage, derartige Angriffe zu reproduzieren. Allerdings ist die Wahrscheinlichkeit für einen Sicherheitspatch für aktuelle Versionen gering. Microsoft sagte Kanthak, dass eine Behebung des Sicherheitslecks einer „riesigen Überarbeitung des Codes“ bedürfe. Eher würden nötige Bugfixes in einer neuen Version von Skype zu finden sein. Immerhin verspricht Microsoft gerade, mit „allen Ressourcen“ an einem solchen Update zu arbeiten. Wann es erscheint, bleibt abzuwarten.

Was tun?

Wer an einem Rechner ohne Admin-Rechte sitzt, könnte sich sicher wähnen. Das ist aber nicht der Fall, wenn später ein Administrator zwecks genereller Updates auch eine Skype-Aktualisierung zulässt, die zuvor manipuliert wurde. Der einzig sichere Weg - ohne auf Skype verzichten zu müssen – wäre, Updates manuell von der offiziellen Webseite zu laden, Skype dort gleich online oder den Skype-Download auf pc-magazin.de zu nutzen. Wir halten die Version nach Möglichkeit immer auf dem aktuellen Stand.

Videoanleitung: Skype-Freiminuten von Office 365 aktivieren

Quelle: PC Magazin
Als Nutzer von Microsoft Office 365 erhalten Sie monatlich 60 Minuten Gesprächsguthaben fürs Festnetz. Im Video zeigen wir, wie Sie das Kontingent aktivieren.

16.2.2018 von The-Khoa Nguyen

Weiter zur Startseite  

Mehr zum Thema

Skype

Spam-Gefahr

Hacker nutzen Skype für Spam-Nachrichten

Viele Skype-Nutzer werden derzeit von Spam-Nachrichten heimgesucht. Das rät Microsoft, um den Account zu sichern.

Ransomware Locky

Security Intelligence Report

Windows, Skype & Co: Immer mehr Hacker nehmen…

Laut der Microsoft-Sicherheitsanalyse sind Angriffe auf Accounts wie das Microsoft-Konto um 300 Prozent gestiegen. So schützen Sie sich vor Hackern.

Windows Update

Optionale Updates

Windows 10 Update: Patch KB4577063 bringt viele Bugfixes

Für das Windows 10 Mai 2020 Update kommt ein neuer Patch. KB4577063 löst Probleme mit Spiele-Audio, Mixed Reality, Windows Updates und mehr.

Facepalm-Symbolbild

Abstürze, Installationsfehler und mehr

Windows 10: Diese Probleme machen die aktuellen…

Mit KB4579311 und KB4577671 gab es fast vor einer Woche Updates für Windows 10 2004 und 1909/1903. Nutzer meldeten in der Zwischenzeit diverse…

Windows-Logo

Bugfixes, Flash-Ende und 21H2-Specs

Windows 10: Weitere Updates im Februar – die wesentlichen…

Nach dem Patchday kommen optionale Updates für Windows 10. Wir fassen das Wichtigste zu KB4601380 (1909), KB4601383 (1809), KB4577586 (19xx) und mehr…